Aller au contenu
La transformation numérique avec Microsoft

Le GDPR établit de nouvelles normes en matière de transparence, de responsabilité et de tenue de registres. Vous devrez faire preuve d’une transparence accrue, non seulement dans la manière dont vous gérez les données à caractère personnel, mais également dans la manière dont vous tenez activement à jour la documentation décrivant vos processus et l’utilisation des données à caractères personnel.

Conservation des documents

Les entreprises qui traitent des données à caractère personnel devront tenir des registres relatifs aux finalités du traitement, aux catégories de données à caractère personnel traitées, à l’identité des tiers auxquels les données sont transmises, à la réception ou non de données à caractère personnel par des pays tiers (ceux-ci devant être désignés également) et au fondement légal de ces transferts, aux mesures de sécurité organisationnelles et techniques et aux délais de conservation des données applicables à différents jeux de données. L’une des solutions pour y parvenir consiste à utiliser des outils d’audit. Ceux-ci peuvent vous aider à garantir que tout traitement de données (qu’il s’agisse de la collecte, de l’utilisation, de la communication ou d’une autre forme de traitement) fait l’objet d’un suivi et d’un enregistrement appropriés.

Les services cloud de Microsoft proposent des services d’audit intégrés qui peuvent vous aider à remplir cette exigence.

Azure, Office 365, et Dynamics 365

Vous trouverez dans le Portail d’approbation des services, des informations complètes sur les différentes ressources de conformité, de sécurité, de confidentialité et d’approbation d’Azure, Office 365 et Dynamics 365, y compris des rapports et des attestations. Des rapports d’audits indépendants de tiers et des rapports d’évaluation GRC (gouvernance, gestion des risques et conformité) vous aident à rester informé de la manière dont les services cloud de Microsoft répondent aux normes internationales qui concernent votre entreprise. Les documents relatifs à l’approbation vous permettent de comprendre la manière dont les services cloud de Microsoft protègent vos données et dont vous pouvez gérer la sécurité des données et la conformité pour vos services cloud.

Azure

L’audit et la journalisation des événements liés à la sécurité ainsi que des alertes associées forment des éléments importants d’une stratégie efficace de protection des données.

Les fonctionnalités de journalisation et d’audit d’Azure vous permettent de :

  • Créer une piste d’audit pour des applications déployées dans Azure et des machines virtuelles créées depuis Azure Virtual Machines Gallery.
  • Réaliser une analyse centralisée d’importants jeux de données en collectant des événements de sécurité depuis Azure Infrastructure as a service (IaaS) et Platform as a service (PaaS). Vous pouvez utiliser Azure HDInsight pour ajouter et analyser ces événements et les exporter vers des systèmes SIEM sur site pour une surveillance continue.
  • Surveiller les rapports d’accès et d’utilisation en tirant parti de la journalisation Azure des opérations administratives, dont l’accès au système, pour créer une piste d’audit en cas de modifications involontaires ou non autorisées. Vous pouvez récupérer des journaux d’audit pour votre espace locataire Azure Active Directory et consulter les rapports d’accès et d’utilisation.
  • Exporter des alertes de sécurité vers des systèmes SIEM sur site en utilisant Azure Diagnostics, qui peut être configuré pour collecter des journaux d’événements de sécurité Windows et d’autres journaux spécifiques à la sécurité.
  • Obtenir des outils de surveillance, de rapports et d’alertes de sécurité depuis Azure Marketplace.

Microsoft Azure Monitor permet aux entreprises de consulter et de gérer facilement l’ensemble de leurs tâches de surveillance des données à partir d’un tableau de bord central. Vous obtenez des données de performances et d’utilisation détaillées et actualisées, un accès au journal d’activités qui consigne chaque appel d’API et des journaux de diagnostic qui vous aident à tracer les problèmes dans vos ressources Azure. En outre, vous pouvez configurer des alertes et des actions automatiques. Azure Monitor s’intègre dans vos outils existants, de sorte que vous bénéficiez de fonctionnalités de surveillance et d’analyse de bout en bout en combinant Azure Monitor et les outils d’analyse dont vous disposez déjà.

Office et Office 365

  • La Certification de service dans le Centre de sécurité et conformité Office 365 fournit des informations approfondies pour la réalisation d’analyses de risque, ainsi que des détails relatifs aux rapports de conformité Microsoft et un statut transparent des contrôles audités, notamment :
    • Les pratiques mises en place par Microsoft en matière de sécurité des données client stockées dans Office 365.
    • Des rapports d’audit tiers indépendants sur Office 365.
    • Des détails sur les tests et les implémentations des contrôles en matière de sécurité, de confidentialité et de conformité qui permettent aux clients de respecter les normes, lois et réglementations dans les différents secteurs, telles que les normes ISO 27001 et ISO 27018, ainsi que la loi américaine HIPAA (Health Insurance Portability and Accountability Act).
  • Les journaux d’audit d’Office 365 vous permettent de surveiller et de suivre les activités des utilisateurs et des administrateurs pour toutes les charges de travail dans Office 365, ce qui participe à une détection et une investigation précoces des problèmes de sécurité et de conformité. Vous pouvez utiliser la page de recherche des journaux d’audit d’Office 365 pour commencer à consigner les activités des utilisateurs et des administrateurs dans votre entreprise. Une fois le journal d’audit préparé par Office 365, vous pouvez effectuer une recherche dans le journal pour trouver des activités très variées, notamment les téléchargements vers OneDrive ou SharePoint Online, ou encore les réinitialisations de mots de passes d’utilisateurs. Exchange Online peut être configuré de manière à suivre les modifications effectuées par des administrateurs et à suivre tout accès à une boîte de messagerie d’une personne autre que le propriétaire de la boîte de messagerie.
  • Le Customer Lockbox vous permet de contrôler la manière dont un ingénieur du support technique de Microsoft peut accéder à vos données dans le cadre d’une intervention d’assistance. Si l’ingénieur doit avoir accès à vos données pour résoudre un problème, le Customer Lockbox vous permet d’accepter ou de refuser la demande d’accès. Si vous l’acceptez, l’ingénieur peut accéder aux données. Chaque demande est assortie d’un délai d’expiration. En outre, une fois le problème résolu, la demande est clôturée et l’accès est annulé.

Enterprise Mobility + Security (EMS)

Azure Information Protection fournit d’importantes fonctionnalités de journalisation et de rapports permettant d’analyser la distribution des données sensibles. Le suivi des documents permet aux utilisateurs et aux administrateurs de surveiller les activités portant sur des données partagées et d’annuler les accès en cas d’événement imprévu. Azure Information Protection offre également des fonctionnalités d’analyse des données non structurées situées dans des partages de fichiers, sur des sites SharePoint et dans des bibliothèques, des répertoires en ligne ou encore des disques d’ordinateurs de bureau ou d’ordinateurs portables. Avec un accès aux fichiers, vous pouvez analyser le contenu de chaque fichier et déterminer s’il contient certaines catégories de données à caractère personnel. Vous pouvez ensuite classer et marquer chaque fichier en fonction du type de données qu’il contient. En outre, vous pouvez générer des rapports concernant cette procédure, avec des informations relatives aux fichiers analysés, aux règles de classification correspondantes et au marquage apposé.

Windows et Windows Server

Le journal des événements Windows offre des fonctionnalités de journalisation étendues qui permettent aux administrateurs d’afficher des informations enregistrées au sujet du système d’exploitation, de l’application et des activités des utilisateurs. Ce système de journalisation peut être configuré de manière à effectuer un audit d’actions détaillées des utilisateurs et des applications, y compris l’accès aux fichiers, l’utilisation de l’application et les modifications de règles, notamment. Le journal des événements Windows permet également aux administrateurs de transférer des événements de clients et de serveurs vers un emplacement centralisé à des fins de signalement et d’audit.

Outils et documentation de signalement des services cloud

Comme toute autre base de données ou tout autre système traitant des données à caractère personnel, votre utilisation des services cloud doit faire l’objet d’un enregistrement et d’une compréhension appropriés pour votre entreprise. Par exemple, votre entreprise devra comprendre les données à caractère personnel détenues par les fournisseurs de services au nom de votre entreprise, la relation contractuelle qui régit ces fournisseurs de services et la destination des données à la fin de la relation de service.

Nous vous aidons à gérer ces informations en proposant des outils de rapport simples et clairs concernant votre compte dans le cloud Microsoft, ainsi qu’une documentation complète concernant nos services cloud, leur mode de fonctionnement et notre relation contractuelle avec vous.

Information des personnes concernées

Le GDPR modifiera les exigences en matière de protection des données et définira de plus strictes obligations pour les opérateurs de traitement de données et les contrôleurs de données en ce qui concerne le signalement de piratages de données à caractère personnel qui entraînent un risque pour les droits et libertés des individus. En vertu de ce nouveau règlement, comme le prévoient les Articles 17, 31 et 32, l’opérateur de traitement de données doit informer sans délai le contrôleur de données de tout piratage de données à caractère personnel ayant été porté à sa connaissance.
Une fois informé de ce piratage, le contrôleur de données doit le signaler à l’autorité compétente en matière de protection des données dans un délai de 72 heures. Si le piratage présente un risque élevé pour les droits et libertés des individus, les contrôleurs doivent également en informer les personnes concernées dans les plus brefs délais. Cela signifie que si vous faites appel à un opérateur de traitement des données dans votre rôle de contrôleur des données, vous devez veiller à ce que vos contrats intègrent un ensemble clair d’attentes au sujet des notifications de violations potentielles.

Pour les événements qui relèvent partiellement ou entièrement de la responsabilité de réaction de Microsoft, nous avons mis en place des procédures de gestion de la réponse aux incidents liés à la sécurité décrites pour AzureOffice 365, et Dynamics 365. Nous rappelons également nos engagements en faveur du GDPR dans la formulation de nos contrats.

Les produits et services Microsoft, comme Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 et Windows 10, offrent des solutions capables de vous aider dès aujourd’hui à détecter et à évaluer les menaces liées à la sécurité et les violations de données, tout en respectant les obligations de signalement prévues par le GDPR.

Gestion des demandes des personnes concernées

Parmi les éléments les plus importants du GDPR figurent les droits des « personnes concernées » énoncés dans les articles de la Section 2 (Information et accès aux données), de la Section 3 (Rectification et effacement) et de la Section 4 (Droit d’opposition et prise de décision individuelle automatisée).

Ces obligations peuvent avoir des répercussions sur votre environnement informatique et sur vos activités en qualité de responsable du traitement, ainsi que dans l’environnement et les activités de tous vos sous-traitants agissant en qualité d’opérateurs de traitement de données.

La bonne gouvernance des données est un élément clé de la législation sur la protection de la vie privée et elle est mise en évidence dans la plupart des lois et des réglementations portant sur la protection des données et le respect de la vie privée. L’un des principaux éléments de la gouvernance au titre du GDPR est la désignation d’un délégué à la protection des données dans certaines circonstances définies dans les Articles 35, 36 et 37. Le délégué à la protection des données doit être associé à toutes les questions relatives à la protection des données à caractère personnel.

Un deuxième élément important de la gouvernance au titre du GDPR est la réalisation de l’examen de conformité de la protection des données qui donne lieu à une analyse d’impact relative à la protection des données sous la direction du délégué à la protection des données. L’Article 33a décrit spécifiquement les obligations en indiquant que dans les deux ans suivant une analyse d’impact relative à la protection des données, le contrôleur des données doit effectuer un examen de la conformité afin de démontrer que le traitement des données à caractère personnel est conforme à l’analyse d’impact relative à la protection des données à caractère personnel.

Le Microsoft Trust Center fournit des informations sur les manières dont nous pouvons accompagner votre cheminement, y compris une rubrique spéciale consacrée aux Positions et engagements de Microsoft envers le GDPR.